【文章內容簡介】 ARD以及 OUTPUT。使用 iptables時，如果沒有刻意以 t指出要操作的表， iptables就假設你要操作 filter表 mangle 用于執(zhí)行特殊的包內容修改，例如裁掉 IP options（需搭配擴展模組） mangle表內建的鏈包括 PREROUTING、 INPUT、 FORWARD、POSTROUTING以及 OUTPUT 圖 、 、 ，以及各種組合所象征的包處理流程。其中圖 “網絡地址轉換” (NAT)的流程，相關鏈是作用于 nat表。 圖 “包過濾系統(tǒng)”的流程，相關鏈是作用于 filter(過濾 )表。 圖 “包內容調整系統(tǒng)”的流程，相關鏈是作用于 mangle表。但為了講述簡便，本書將不詳細介紹 mangle表。 圖 nat表與相關鏈 圖 filter表與相關鏈 圖 （ package）的流程 當包流經鏈時，必須依序通過該鏈里每一條規(guī)則的檢驗。若包符合某條規(guī)則的“篩選條件” (match)，則將包交給該規(guī)則的“目標” (target)來處理，否則，就繼續(xù)由同鏈里的下一條規(guī)則予以檢驗。倘若包順利通過鏈里的所有規(guī)則 (不符合任何規(guī)則的篩選條件 )，則以鏈結的“策略”。 包實際會經過哪些鏈，取決于包本身的性質 (轉交、輸入、輸出、繞回 )，表 徑順序。圖 、圖 ，包如何通過該表各鏈的詳細流程。 iptables語法 iptables 的語法相當的多，這些語法分成規(guī)則清除、定義政策以及新增與插入規(guī)則、三部分來說明 1）觀察規(guī)則 iptables 在一開始的時候，應該是沒有規(guī)則的，不過，也可能在安裝的時候就有選擇系統(tǒng)自動幫您建立防火墻機制，此時系統(tǒng)就會有預設的防火墻規(guī)則。 查看規(guī)則命令格式： iptables [t tables] [L] [n] 參數說明： t：后面接 iptables 的 table ，例如 nat 或 filter ，如果沒有 t table ，那么默認就是 t filter 這個 table ； L：列出目前的 table 的規(guī)則； n：不進行 IP 與 HOSTNAME 的轉換，屏幕顯示訊息的速度會快很多。 v 顯示規(guī)則詳細信息。 2）清除規(guī)則 清除規(guī)則命令格式： iptables [t tables] [FXZ] 參數說明： F ：清除所有的已訂定的規(guī)則； X ：殺掉所有使用者建立的 chain (應該說的是 tables）； Z ：將所有的鏈的計數與流量統(tǒng)計都清零。 例，清除 filter表規(guī)則 – studentubuntu:~$ sudo iptables –F //清除默認表 filter所有的設置規(guī)則 – studentubuntu:~$ sudo iptables –X //刪除表 filter中用戶建立的鏈 – studentubuntu:~$ sudo iptables –Z //將表 filter計數與流量統(tǒng)計都清零 請注意，如果在遠程連機的時候管理 iptables，這三個指令必須要用 scripts 來連續(xù)執(zhí)行，不然肯定會讓被主機擋在門外。 定義規(guī)則命令格式： iptables [t tables] [P] [INPUT, OUTPUT, FORWARD, PREROUTING, OUTPUT,POSTROUTING] [ACCEPT,DROP] 參數說明： P ：定義政策 ( Policy )。注意，這個 P為大寫； INPUT：數據包為輸入主機的方向； OUTPUT：數據包為輸出主機的方向； FORWARD：數據包為不進入主機而向外再傳輸出去的方向； PREROUTING：在進入路由之前進行的工作； OUTPUT：數據包為輸出主機的方向； POSTROUTING：在進入路由之后進行的工作； ACCEPT：放任數據包進入下以階段處理； DROP：終結包的后續(xù)流程。 鏈的策略主要有 ACCEPT與 DROP，對于自訂鏈的策略都固定是RETURN，不能改變。 新增與插入規(guī)則較語法復雜，大概格式是：命令 +操作表格 +過濾條件 +處置動作構成。具體格式如下： iptables [t filter] [AI INPUT,OUTPUT,FORWARD] [io interface] [p tcp,udp,icmp,all] [s IP/work] [sport ports] [d IP/work] [dport ports] j [ACCEPT,DROP] 參數說明： A：新增加一條規(guī)則，該規(guī)則增加在最后面，例如原本已經有四條規(guī)則， 使用 A 就可以加上第五條規(guī)則！ I：插入一條規(guī)則，如果沒有設定規(guī)則順序，預設是插入變成第一條規(guī)則， – 例如原本有四條規(guī)則，使用 I 則該規(guī)則變成第一條，而原本四條變成 2~5 187。 INPUT ：規(guī)則設定為 filter table 的 INPUT 鏈 187。 OUTPUT ：規(guī)則設定為 filter table 的 OUTPUT 鏈 187。 FORWARD：規(guī)則設定為 filter table 的 FORWARD 鏈 i：設定數據包進入的網絡接口 o：設定數據包流出的網絡接口 – Interface：網絡卡接口，例如 eth0, eth1， ppp0等 p：請注意，小寫，數據包的協議。 – tcp ：數據包為 TCP 協議的包； – upd ：數據包為 UDP 協議的包； – icmp：數據包為 ICMP 協議； – all ：表示為所有的包。 s：來源數據包的 IP 或者是 Network ( 網域 ) sport：來源數據包的端口號，也課使用 port1:port2，如21:23，表示允許 21,22,23 通過 d：目標主機的 IP 或者是 Network ( 網域 ) dport：目標主機的 port 號碼 j：動作，通常是以下的動作； – ACCEPT：接受該封包 – DROP：丟棄封包 – LOG：將該封包的信息記錄下來 (默認記錄到 /var/log/messages 文件 ) 以上新增與插入規(guī)則只是針對主機設置的這一部分，還有更多的，比如針對 NAT的規(guī)則、針對硬件地址 (MAC)分析規(guī)則等需要參考資料。 這主要涉及兩個 iptables命令。 1）保存規(guī)則 iptablessave filename 將防火墻機制儲存成 filename 那個文件，該文件為 ASCII 格式，可以進入查看。 2）恢復規(guī)則 iptablesrestore filename 將 filename 那個防火墻文件的規(guī)則讀入目前的 Linux 主機環(huán)境中。 拓 展 提 高 1）構建一個更完善的防火墻； 2）網絡地址轉換（ NAT）； 3） iptables與 Squid透明代理； 4）使用 FireStarter防火墻。 任務 1構建一個更完善的防火墻 使用 iptables搭建簡單防火墻已經能夠完成本地局域網相互訪問， Linux主機也能夠訪問 Inter，但如果 Linux主機還提供 Web、郵件服務等服務，簡單服務器設置能滿足要求嗎？另外，一些更安全的規(guī)則也應該考慮。 以下過程要在 Linux主機保證運行了 Apache服務器。 1）配置前測試 在上層局域網的主機 ，輸入 Linux主機地址 ，訪問 Linux主機 web站點；在本地局域網主機 ，輸入 Linux主機地址，訪問 Linux主機 web站點。 以上兩種操作，正常情況上層局域網的主機不能訪問 Web站點，而本地局域可以正確訪問。 2）添加規(guī)則允許 Web服務 studentubuntu:~$ sudo iptables A INPUT i eth1 p tcp dport 80 j ACCEPT 允許 eth1上目的端口是 80的數據包進入主機。 3）添加規(guī)則后測試 在上層局域網的主機打開瀏覽器，輸入 Linux主機地址，訪問 Linux主機 web站點； 4）添加規(guī)則允許郵件服務 郵件服務使用的是 2 110兩端口，添加規(guī)則允許進入。 studentubuntu:~$ sudo iptables A INPUT i eth1 p tcp dport 25 j ACCEPT studentubuntu:~$ sudo iptabl